Le Parti socialiste s’est vu infliger hier  (27 octobre 2016) un avertissement public de la CNIL pour manquement à la réglementation sur la protection des données personnelles, pour avoir mis, ou plutôt laissé, en ligne les données personnelles de ses nouveaux adhérents inscrits via Internet.

La faille incriminée étant corrigée, savoir dans quelle mesure le parti épinglé est responsable ou coupable, selon la formule consacrée, n’est pas mon propos ; que le parti, ou même l’association qui n’a jamais constitué de fichier de ses nouveaux adhérents sans le gérer de la bonne manière jette la première pierre.

Mon propos est que l’article du Monde à ce sujet, écrit par deux journalistes sérieux, met en lumière les liens entre certains concepts que le réseau mondial (plus que la simple constitution de bases de données de naguère), oblige à redéfinir.

D’un côté, les données dites à caractère personnel, de l’autre la sécurité qui est le motif de la sanction ; enfin, d’un troisième côté (on pourrait en chercher un quatrième pour terminer le carré…) : le militantisme qui est, selon cet article, l’argument de défense du PS.

La qualification des données

L’expression « données à caractère personnel » est plus précise que « données personnelles » car toute donnée peut être personnelle et il faut bien distinguer la donnée qui me concerne de la donnée qui m’appartient, confusion joyeuse dans la langue française d’aujourd’hui.

Les données mentionnées dans cette affaire visent des informations de natures différentes qu’il serait bon de distinguer plus finement (ce qui s’exprime clairement se conçoit aisément n’a pas dit Boileau, mais il aurait pu), autrement dit il serait bon de qualifier davantage les données, de les catégoriser.

Il y a là au moins trois groupes de données :

  • les coordonnées de la personne : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile et date de naissance. Une étymologie de (bonne) cuisine dira les coordonnées sont des données qui sont « or » (pour ordonnées ou organisées) et « co » (pour collectées ou corrélées), ici autour d’une personne. Ces informations sont de moins en moins personnelles au sens de privées puisque, tout en se récriant devant le contrôle étatique, la plupart de nos contemporains les distillent eux-mêmes à longueur d’année sur les réseaux sociaux, les sites marchands ou sur des outils informatiques non protégés (il n’y a pas que pour le sexe que l’époque requiert des rapports protégés !) ;
  • l’adresse IP dont le statut de donnée à caractère personnel n’est pas si clair (les avis divergent là-dessus et le sujet mériterait une étude plus poussée) ;
  • le moyen de paiement : là, le risque de nuisance est évident et on peut s’interroger sur la maturité d’esprit de ceux qui mettent sur Internet ce genre d’information, émanassent-elles de leurs militants.

La sécurité

L’article du Monde parle à la fois de sécurité (la caractéristique d’un dispositif qui protège) et de sécurisation (le processus et les mesures pour atteindre la sécurité).

La sécurité est une notion technique. La sécurisation est une notion politique, managériale.

Le raisonnement est simple, mais tout le monde ne semble pas le faire, que ce soit les partis politiques, les entreprises ou les individus :

  1. si une donnée est qualifiée de sensible, cette qualification impose un certain degré de sécurité ;
  2. si ce degré de sécurité n’est pas assuré, lors de la production de la donnée puis tout au long de son cycle de vie, il faut procéder à la sécurisation a) de sa conservation/stockage, b) de son accès.

Tout commence donc par la qualification des données, non pas individuellement mais par groupe, sur la base de leur contenu et du risque associé a) à l’existence de ces données (conservation/destruction), b) à la communication (terme positif) ou à la divulgation (terme négatif) de ces données.

Et il faut préciser qu’une donnée vit et que sa qualification peut changer au fil du temps. À cet égard, la CNIL a beau jeu de dire que les adhérents au parti de 2010 ne sont plus en 2016 des « nouveaux adhérents ».

Le militantisme

L’argument avancé en défense par le parti pris en faute par la CNIL est à la fois très intéressant sur le fond et, si je peux me permettre, naïf dans la forme.

Certes, l’adhésion au parti est « un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ». On peut dire ça « en général », en tant qu’observateur ; mais comme responsable légal du site, l’argument est un peu short. Le principe de l’adhésion en ligne correspond à notre nouveau mode de vie connecté, rien à redire. La question est de distinguer le processus engageant d’inscription (le clic sur le bouton « valider ») qui est contractuel (un parti/un adhérent) du processus de gestion des adhérents (qui est interne au parti).

Bien sûr le formulaire en ligne indique les clauses obligatoires mais le terme juridique « consentement » ni figure pas, encore aujourd’hui ; or, le consentement du fournisseur de données (le militant) devrait être requis plus précisément, une fois que l’usage que le parti se propose de faire des données est clairement exposé. On n’a ni l’un ni l’autre.

Sur le fond, la question est de savoir si l’adhésion à un parti est confidentielle non. On peut débattre. Comme le rappelle l’article du Monde, les opinions politiques figurent parmi les données confidentielles listées dans l’article 8 de la loi sur la protection des données de 1978. Mais la formule est assez vague ; on peut gloser sur le distinguo entre le fait d’appartenir à un parti et une opinion politique.

Quelle traduction concrète en termes de support d’information ? La confidentialité d’une information ou d’un document, pour son auteur et/ou son destinataire, commence par la définition du cercle de personnes autorisées à accéder à cette information ou ce document, comme l’exprime très bien Bruno Danvin dans le MOOC du CR2PA « Bien archiver : la réponse au désordre numérique ».

Si j’adhère en ligne à un parti politique (à vrai dire, je ne parle pas d’expérience… pour l’instant), c’est effectivement que j’ai fait un choix et que je l’assume en tant que citoyen ; de mon point de vue, cette information n’est pas confidentielle ; en revanche, le numéro de la carte bancaire avec laquelle je paie la cotisation, oui, il est confidentiel car il y a un risque de mauvaise usage de cette donnée.

Ceci fait penser à l’attitude d’ex-jeunes soixante-huitards, rangés depuis longtemps dans un quartier bobo, qui, quelques décennies après avoir manifesté devant les caméras de l’ORTF, réclamaient à l’INA (héritier des archives de l’ORTF et promoteur de leur mise en ligne) la suppression ou le floutage des images sinon compromettantes du moins désagréables. Le présent assume-t-il le passé ? Grave question de notre siècle. Ce désir d’effacement de la mémoire collective n’est-il pas aussi choquant, mutatis mutandis, que la disparition de Trotsky sur les photos du pouvoir soviétique ou le gommage de la cigarette sur l’affiche de l’exposition sur Sartre en 2005 ?

Conclusion

  1. Les données, particulièrement les données à caractère personnel, doivent être qualifiées (autrement que par la simple mention « à caractère personnel »).
  2. Elles doivent être qualifiées dans la durée.
  3. Il y a du boulot !

Nota bene : les deux illustrations proviennent du site du Parti socialiste le 28 octobre 2016.